Dêem uma olhada nisso aqui, A mitologia de imunidade a vírus no Linux

[velox256]

http://www.vivaolinux.com.br/artigo/A-mitologia-da-imunidade-a-virus-no-Linux/

A mitologia de imunidade a vírus no Linux

Ao navegar na rede e entrar em alguns fóruns, vejo que o povo anda meio que subestimando o poder dos vírus que existem e que existirão para Linux, muitos usuários de Linux ou UNIX acham que basta se aplicar uma política com chmod ali, tirar um usuário root dali, usar um chroot acolá e criar boas senhas resolverá todos os problemas. Ora meus amigos!

Isso já é costume cultural em comunidades UNIX e Linux, isso só não é feito no mundo Windows, onde todos usuários débeis acham que o dono do computador por hierarquia deva ser o administrador e como ele tem de fazer tudo, tendo assim a sensação de poder e o uso de outros usuários restritos um estorvo.

No Linux os cuidados básicos quanto a isso já estão, eu diria, 75% acertados, então como o vírus nos atacaria? Muito simples: lembram da praga do buffer overflow? Bom, acho que já deu pra você imaginar tudo não é? O que mais se tem de erro em um sistema UNIX ou Linux é o buffer overflow, e o que é o buffer overflow a grosso modo?

Eu diria que são programas mal projetados em suas validações de IO, que ao estourar manda para um certo lugar da memória ou processador uma certa ordem, como é o caso daquelas fotos pornográficas que de maneira bem planejada têm em seu final comandos como c:\windows\cmd para "ferrar" o mal feito Internet Explorer.

Bom, sabemos que o Linux e UNIX dão um show nisso (vide sendmail e bind), então um vírus capaz de explorar um desses possíveis estouros de memória no Linux, pode muito bem ser feito para explorar um programa qualquer que rode como root e que seja usado em rede para entrar no sistema e depois baixar o que bem quiser para completar sua tomada de poder na máquina local, colocando qualquer política de chmod, chroot, chown e senhas no "chinelo". Depois de tomado o sistema (ownado) , o vírus altera o ps para não ser visto no sistema e por aí vai. Esse é o caso dos vírus Lion e Adore, que atacam vulnerabilidades no BIND.

Qual a minha previsão então? Se o Linux continuar crescendo e nenhum outro Unix-like superior tomar a cena no mercado desktop, os vírus crescerão drasticamente. Considerando que cada programa que existe para console, ao ser pesquisado em lugares como o CERT revela uma falha grave, o assunto fica ainda mais sério. Qual seria a solução? Ficar atualizando o sistema dia e noite? Bom, isso seria tão divertido que a pessoa não faria mais nada a não ser ficar atualizando todos os executáveis do sistema.

Usar antivírus? Não, isso é nojento e vicioso, assim como a medicina ocidental acha bom criar remédios para doenças, os antivírus acham bom termos vírus para lucrarem às custas de nossa ingenuidade.

Trocar o kernel? Não sei, até hoje o kernel cresceu, teve novidades, mas nada que fosse revolucionário em segurança ao meu ver, me desculpe a franqueza.

Pra mim os criadores do kernel deveriam encarar esse assunto com seriedade e não ficarem querendo apenas expandir o sistema pra servidores da IBM da vida.

O kernel 2.6 até prometia algo pra acabar com os buffers overflows, mas foi mais uma promessa do que realidade, deveria-se criar uma maneira de evitar que somente usuários poderosos pudessem fazer algo no sistema, os controles de permissões estão aí pra ajudar nisso, não entendo por que somente o root pode usar algumas portas TCP do sistema e os outros usuários não. O que adianta o usuário comum não poder fazê-lo e um atacante poder?

O kernel por fim deveria ter uma espécie de filtro que impedisse usuários comuns ou eventos incomuns tomassem poderes de root de uma hora pra outra, como é o caso do su, que deveria ser banido do console, deixando assim um usuário comum completamente isolado do root.

[carlosaluisio]

Belo texto!

Há tempos que vejo criticas a respeito dos buffers overflows ... o FreeBSD tem esse problema bem reduzido. Até se, primarmos pega segurança, o FreeBSD é a melhor pedida.

O Kernel 2.6 fez com que o Linux nao sumisse do mapa para desktop (se tivessemos o 2.4, por exemplo, teriamos que estar até hoje digitando frases de comandos para espetar um pendrive ou uma webcam, por exemplo.. eu peguei essa época, era brabo!), porém, parece que encheu ainda mais de buffers overflows, justamente pela requisição de IO que necessita esses procedimentos automatizados.

O negócio é, como falaram: olhar com mais seriedade essa questão.

Carlos

[livio]

O MacOS é Unix-like e tem se expandido bastante.

A meu ver, o número de pragas que se utilizam de brechas no sistema tem reduzido drasticamente, prevalecendo a engenharia social, a qual nenhum sistema operacional está livre.

Minhas previsões são que os antivirus irão mudar para se adaptar a nova realidade, ao invés de prestarem proteção residento consumindo memória e processamento, eles farão a análise arquivos sob demanda.

Apenas um lembrete, a sensação de segurança é o maior aliado dos criminosos digitais

[tfmoraes]

Um Buffer overflow[1] precisa ser explorado(exploit) para causar um dano, caso contrário o programa poderá fechar(crash) ou se comportar de modo estranho. Para isso há vários patches que são aplicados no kernel para proteção, como é o caso o PaX[2] e do SELinux[3]. O gcc também contem algumas estratégias para diminuir o risco dos buffer overflows[4][5].
Isto demonstra que há sim preocupação em prevenir o linux contra isto.

1- http://en.wikipedia.org/wiki/Buffer_overflow
2- http://en.wikipedia.org/wiki/PaX
3- http://en.wikipedia.org/wiki/Security-Enhanced_Linux
4- http://fedoraproject.org/wiki/Security/Features#Compile_Time_Buffer_Checks_.28FORTIFY_SOURCE.29
5- http://fedoraproject.org/wiki/Security/Features#Stack_Smash_Protection.2C_Buffer_Overflow_Detection.2C_and_Variable_Reordering

[FaBMak]

FUD. Texto limitado e com meias verdades.

[livio]

FUD. Texto limitado e com meias verdades.

Não trata-se de FUD nem de meias verdades.

Malwares existem, bem como pessoas mal intencionadas. Ignorá-los por causa da sensação de segurança que o Unix proporciona não irá fazer com que desapareçam.

Servidores da RedHat e da Canonical já foram invadidos, servidores do Debian já foram infectados com rootkits.

O que devemos fazer é cuidar da nossa segurança em vez de procurar insegurança no SO dos outros.

[carlosaluisio]

FUD. Texto limitado e com meias verdades.

Nada de FUD, Fabmak. Os bufffers owerflows sao uma praga constante em Linux. Ainda mais agora com o 2.6, que o Linux virou praticamente um plug-and-play (o que acaba por mandar n requisições para o hardware .. menos mal, senao o Linux para desktop, hoje, em 2009, sumiria do mapa sem o kernel 2.6)

Fazer um virus que ataca um erro de IO e danificar o sistema é 100 vezes mais difícil que fazer um malware para windows. Olha, 100 vezes tô sendo bonzinho. acho que é 1000 vezes. fazer virus que ataca esse problema é coisa para fera !

Os sistemas FreeBSD e OpenBSD tem muito menos esse tipo de problema. O Windows tem aos montes.

quer segurança em um servidor como uma rocha ? Use FreeBSD. Mas o Custo de Propriedade nao compensa na maioria dos casos. Linux é a melhor pedida. Fiquem tranquilos, que a chance de um servidor Linux ser invadido por esse tipo de problema é raro, ainda mais se o administrador de rede é bom.

[FaBMak]

Não vou ficar contrapondo os argumentos um a um. Em nenhum momento eu disse que não existe buffer overflow e invasões no Linux. O FUD, nesse caso, é usar isso propagando o medo injustificado. Nem vou comentar que as invasões se deram devido às descuidos de seus respectivos admistradores.

O fato do Software Livre ser aberto e livre, não o livra de BUGS, mas faz com tenha menos chance deste existir. Tirem suas próprias conclusões.

[livio]

Não vou ficar contrapondo os argumentos um a um. Em nenhum momento eu disse que não existe buffer overflow e invasões no Linux. O FUD, nesse caso, é usar isso propagando o medo injustificado. Nem vou comentar que as invasões se deram devido às descuidos de seus respectivos admistradores.

O fato do Software Livre ser aberto e livre, não o livra de BUGS, mas faz com tenha menos chance deste existir. Tirem suas próprias conclusões.

Sem querer ofender, mas sua visão parece um pouco preconceituosa quanto ao software não-livre.

[FaBMak]

Sem querer ofender, mas sua visão parece um pouco preconceituosa quanto ao software não-livre.

De onde exatamente do meu texto vc tirou esta conclusão ?

[carlosaluisio]

Não vou ficar contrapondo os argumentos um a um. Em nenhum momento eu disse que não existe buffer overflow e invasões no Linux. O FUD, nesse caso, é usar isso propagando o medo injustificado. Nem vou comentar que as invasões se deram devido às descuidos de seus respectivos admistradores.

O fato do Software Livre ser aberto e livre, não o livra de BUGS, mas faz com tenha menos chance deste existir. Tirem suas próprias conclusões.

Creio que nao é um medo injustificado, e sim, informação sobre aonde exatamente o linux pode ser vulnerável ou nao.

sds. carlos

[Nossile]

Situação próxima ao relatar os perigos de se viajar de avião, os perigos existem, são reais  e caso aconteça algum problema a morte é praticamente certa, mas o avião ainda é o meio de transporte mais seguro.

[velox256]

Olha, eu ainda prefiro andar de ônibus, hehehehe... Se der "derma" as chances de sobrevivência são maiores. O avião pode até ser mais seguro 'estatisticamente', mas se cair já era.

Putz, nada a ver, hehehehe...

[jonata]

[JowCG]

Nem li o artigo todo, só pela data de criação já perdi o interesse, o artigo tem quase 5 anos (Novembro de 2004) e dentre esse período acredito que não tenha se manifestado um grande malware sobre o Linux.